Современное предприятие отличается разнородной ИТ-инфраструктурой, характеризующейся многообразием оборудования, различными базами данных, информационными системами, которые обслуживаются с использованием привилегированных учётных записей (например, Root в ОС Linux, Administrator в ОС Microsoft Windows) как внутренними администраторами, так и внешними пользователями. Бесконтрольное использование таких учётных записей, в частности, отсутствие регулярной смены паролей и контроля действий пользователей с администраторскими правами, может привести к инцидентам, связанным со сбоями ОС, средств виртуализации и оборудования, вызванными ошибочными или злонамеренными действиями обслуживающего персонала.

Для начала, следует оценить немного статистических данных по исследуемому вопросу.

Согласно U. S. CERT 2010 CyberSecurity Watch Survey:

Среднегодовые потери от киберпреступлений составили $394.700.000

Процент организаций, сообщающих об инцидентах информационной безопасности:

35% - Неавторизованный и несанкционированный доступ

34% - Ненамеренное распространение закрытой информации

26% - Финансовое мошенничество

22% - Кража интеллектуальной собственности

21% - кража проприетарной информации

20% - кража персональных данных

19% - саботаж

16% - намеренное распространение закрытой информации

Согласно опросу Ponemon Institute "Insecurity of Privileged Users: Global Survey of IT Practitioners" от декабря 2011, в котором приняли участие IT-специалисты ведущих американских компаний, 42% респондентов считает, что подобные риски будут только расти. В аналогичном опросе от 2014 года доля поддержавших эту идею составила уже 51%.

Предположительно, такая картина вызвана общим ростом относительной доли инсайдерских рисков, так как осуществление внешних атак в наше время становится все более и более труднореализуемым.

Действительно, по данным различных аналитических отчетов, проблема утечки информации с использованием привилегированных учетных записей растет год от года. По информации аналитиков Verizon, доля утечек со стороны системных администраторов за последний год поднялась до 6%.

Вот лист наиболее частых запрещенных видов деятельности, совершаемых ИТ-работниками на рабочем месте, по результатам анонимного опроса 2015го года на сайте sysadmins.ru:

54% скачивали нелегальный контент со своего рабочего места;

48% применяли правила исключения для файрволла или других ИТ-систем в личных целях, чтобы обойти политику безопасности компании;

29% "забирали домой" сведения о компании;

25% просматривали конфиденциальные файлы, хранящиеся на серверах компании (например, список зарплат);

16% читали электронную переписку своих коллег (без их разрешения);

15% удаляли или изменяли лог-файлы (чтобы скрыть или уничтожить улики).

Опрашиваемых просили не учитывать те случаи, когда нарушение было вынужденной мерой при исполнении должностных обязанностей, например, прочтение писем другого сотрудника при работе над восстановлением работоспособности его PST-файла (основной файл данных почтового клиента MS Outlook). По результатам этого опроса получается, что ѕ респондентов относительно грубо злоупотребляли своим уровнем привилегий, и могли бы потерять работу, если бы видеозапись доказала их нарушения. При этом 90% опрошенных работников по различным соображениям (они будут упомянуты ниже) были бы за или не против того, чтобы бы за ними наблюдали с помощью инструментов мониторинга.

Наиболее известные "дорогостоящие" инциденты в американской практике:

2011: Уволенный работник американского подразделения японской фармакологической компании "Shionogi" удалил 15 VMware систем, что обошлось компании в $800,000.

2010: Работник IT-службы Банка Америки взломал прошивку банкоматов этого банка, получив возможность снимать деньги без учета. Точный объем снятых им средств неизвестен, но точно превышает полмиллиона долларов.

2009: Программист, работавший на Goldman Sachs, украл код новой системы быстрой торговли на бирже, стоимость которого оценивается владельцем в более чем 10 миллионов долларов.

2010: Разработчику из штата Юта удалось "вывести" более двух миллионов долларов из четырех кредитных организаций, на которые он работал.

2011: WikiLeaks - пример с общемировой известностью. Суммарную стоимость собранных этим ресурсом "утечек" оценить не представляется возможным.

Кто обычно - причина этих происшествий?

В типичном случае в ИС организации присутствуют следующие группы пользователей:

1) Стандартные: - с минимальными правами, со стандартными правами, с расширенными правами

2) Привилегированные: Администраторские права, Максимальные права (Суперадмины / админы безопасности)

Как правило, виновники - это инсайдеры-злоумышленники, находящиеся во второй группе - привилегированные пользователи (далее также ПП): сисадмины, сервисные инженеры, аутсорсеры, аудиторы, консультанты, внедренцы системных интеграторов, VMware админы (в случае с облачными сервисами) и другие пользователи с повышенными привилегиями:

привилегированные пользователи потенциально могут нанести максимально возможный ущерб информационным системам компании;

ПП имеют возможности скрыть следы своей деятельности;

некоторые последствия деятельности ПП необратимы.

невозможно бороться с ними или хотя-бы оперативно отслеживать стандартными средствами. Например, при использовании разного рода "классических" систем для выявления инцидентов безопасности (как SIEM), есть возможность увидеть лишь логи события, а не картину целиком.

Нет смысла обсуждать здесь, как они вредят и почему делают это.

Но, зачастую, работодателю не стоит сомневаться в лояльности своих сотрудников: он проверял их при приеме на работу, они проверены годами безупречного стажа на рабочем месте, некоторые даже лично заинтересованы в успехе организации и/или непосредственно работодателя.

Тем не менее, даже порядочные работники могут "ошибаться", например, используя одни и те же пароли годами, храня их в незащищенном виде, или предоставляя их другим работникам. Так же, немалую роль в утечке паролей играет все набирающая популярность схема удаленной работы: работнику стоит лишь уделить недостаточно внимания защищенности соединения - и его ID и пароль сразу станут общественным достоянием. К примеру, такое чаще всего происходит при работе в каком-нибудь кафе по местному незащищенному WI-FI.

В действительности, многие сетевые устройства и сервера имеют единственный администраторский аккаунт, а это значит, что придётся в случае малейшей необходимости предоставить сразу полный доступ (схема "все или ничего"). Зачастую, работники IT-отделов организации "разделяют" административные аккаунты с коллегами. Еще одна уязвимость - пароли, встроенные в код скриптов и приложений (“hardcoded passwords”). Не стоит забывать и об опасностях, связанных с облачными сервисами.

Итак, выделим 4 основных группы уязвимостей:

пользователи с некорректно завышенными привилегиями;

незащищенные данные доступа к привилегированным аккаунтам;

"разделяемые" административные аккаунты (один аккаунт использует несколько человек) и "обезличенные" аккаунты;

риски работы с облачными сервисами.

Проясним детали рисков, связанных с "облаками":

гипервизор имеет полный доступ к данным "арендаторов", и даже может изменять поведение их систем;

возможность кумулятивного эффекта: человек с правами гипервизора такой системы может в мгновение уничтожить тысячи виртуальных серверов и систем, платформ, данных;

арендаторы не имеют возможности найти "виновного" со стороны вендора.

Также, контроль за действиями привилегированных пользователей обязателен для выполнения регулирующих требований. Например, финансовые организации должны соответствовать стандартам PCI DSS, ITIL, COBIT, ISO 27000 и некоторым другим стандартам, например СТО БР ИББС. Успешное прохождение этих проверок необходимо для того, чтобы организации могли продолжать ежедневную деятельность и предотвратить утечку/утерю закрытых данных, финансовые потери и ущерб для своей репутации. Особенно важны эти требования для систем, работающих с "закрытой информацией", например государственных информационных системы, ИС оборонных предприятий и т.д.

Итак, перед специалистами по информационной безопасности встает важная задача - обеспечить автоматизированное управление учетными записями и постоянный контроль действий привилегированных пользователей. Чтобы оценить объемность этой задачи, достаточно взглянуть на рисунок ниже (Рис.1). На рисунке изображен пример типичной схемы "сеансов доступа" пользователей к ресурсам и удаленным рабочим столам в ИС небольшой организации за 1 час рабочего времени: бледно-желтые круги - удаленные сервера хранения и обработки данных, зеленые - виртуализированные сервера для работы по RDP, остальное (синие, фиолетовые и др.) - машины пользователей и устройства сетевой инфраструктуры. Диаметр круга соответствует интенсивности деятельности и объему проходящих данных.

Первый шаг к решению проблемы - концепция "least privilege" - "минимально необходимые привилегии". Она соответствует давным-давно сформированному принципу "DAPE": Deny All Permit by Exception (запретить все, допустить в порядке исключений). Но на данный момент этого явно недостаточно. Следующим шагом является "Zero Trust access control", или "модель нулевого доверия". Она должна разумно совмещать в себе полный набор мер от модели DAPE и часть мер от концепции "максимального недоверия", таких, как шифрование трафика, мониторинг деятельности пользователей, запись сессий, управление паролями и т.д.

Таким образом, очевидна необходимость внедрения системы управления привилегированными учетными записями, целью построения которой является минимизация потенциального ущерба в компании от злоупотреблений собственных сотрудников, а также третьих лиц, имеющих логический или физический доступ к её информационным системам и оборудованию.

Данное решение представляет собой комплекс организационных и технических мер. Организационные меры решения данной проблемы включают:

контроль доступа субъектов к защищаемым ресурсам в соответствии с определенной моделью доступа;

регламент получения и изменения уровня привилегий для внутренних сотрудников;

регламент получения и изменения уровня привилегий для партнеров, сотрудников с удаленным доступом.

Технические меры решения данной проблемы - это внедрение надежной и эффективной автоматизированной системы контроля за действиями пользователей с привилегированными учётными записями. В общем виде принципиальная схема подобной системы представлена на иллюстрации (Рис. 1). Для контроля действий привилегированных пользователей устанавливается сервер контроля действий администраторов и агенты, которые устанавливаются на сервера и рабочие станции, где необходимо контролировать сессии пользователей.

Рисунок 1

Технологически задачу управления привилегированными учетными записями и доступом можно разделить на несколько подзадач:

централизованное управление административными учетными записями для внешних сотрудников;

проверка правильности выдачи административных прав;

создание политик доступа для администраторов (типы сеансов, протоколы доступа, время доступа и т.п.);

запись всех действий сотрудников сторонних организаций, администраторов, которые по определению имеют административные права; причем важно записывать действия как можно подробнее, простое логирование некорректных действий тут не подойдет;

исключение возможности администраторам "замести" следы своих недобросовестных действий;

контроль над действиями автоматизированных систем, обеспечивающих привилегированный доступ к другим системам - М2М-соединения.

В общем виде, "прозрачность" входа пользователей должна обеспечиваться подобной схемой, когда происходит сначала single sign-on на персонифицированный (привязанный к конкретному человеку) аккаунт системы контроля, а позже система уже связывает его с необходимыми разрешенными правами учетных записей самой ИС организации (Таблица 1).

Таблица 1. Пример общей принципиальной схемы соответствий "сотрудник - конечная учетная запись"

ПользовательID LogOn timeУч. записьСтатусLogOut time

Иванов179: 57adm не активен-

Петров2210: 02petrov активен-

Сидоров310: 36sidorov активен-

Быков1111: 24videoguard активен-

Волкова1311: 48volkova не активен13: 17

Соловьев613: 111c_user активен-

Тарасов1913: 22adm активен-

Орлов1413: 31orlov активен-

Итак, сформируем итоговый набор основных требований к функционалу подобной системы:

1) Контроль доступа - кто, куда может "ходить" и что делать: контроль доступа к учетным записям, серверам, программам, системам, данным, исполняемым командам и т.д.

2) Защита и управление данными учетных записей - безопасное хранение и выдача паролей, ротация паролей, single sign-on, "аварийная" выдача административных паролей, соответствие учетных записей данной системы и доступных для них учетных записей ИС организации и т.д.

3) Деанонимизация деятельности - больше не получится оставаться неизвестным пользователю, который использует не привязанный к личности аккаунт, такой, например, как админский или разделяемый с коллегой.

4)"Сдерживание" пользователей (или предупреждение перехода) - предотвращение "leapfroging'а" - дословно "перепрыгивания", например, с помощью RDP. Здесь важно понимать, что внедрение такой системы сделает в некоторых случаях использование RDP и аналогичных схем в принципе недоступными даже в случаях, когда это не запрещено. Поэтому потребуется перестройка ИС и модели действий пользователя под удаленное подключение ко всем необходимым "столам" сразу со стартового интерфейса данной системы, без использования промежуточных точек.

5) Контроль исполняемых команд - во всех консолях, а так же и в программах.

6) Запись сессий с on-time подкреплением метаданных. Важно, чтобы записи имели формат, не занимающий много места и хорошо сжимающийся, а так же, чтобы запись велась только во время действий, и останавливалась на время простоя. Приветствуются синхронизированное логирование и анализирование, а так же использование спецкодеков для записи в "псевдовидеоформате" (изображение основано не на полном видеозахвате, а на "формах", отдельный захват текста, упрощенные цвета и т.д.).

7) Тотальное логирование - ведение логов всех проводимых действий и изменений - в том числе и "неодушевленными" пользователями.

8)"Поднятие тревог" - уведомление офицеров безопасности о несанкционированных действиях, ведение отдельного лога нарушений, рейтинги доверия к пользователям и сессиям, уведомления пользователя о том, что он пытается совершить запрещенные действия, меры наказания за продолжение несанкционированных действий (такие, как прерывание сессии или блокировка аккаунта пользователя в случае более грубого нарушения).

Так же, следует сформулировать набор дополнительных требований к самой системе:

1) Возможность автоматической "интеллектуальной" самонастройки системы, самостоятельный поведенческий анализ.

2) Работа в облачных (виртуализированных) средах - как со стороны вендора, так и в облачных системах "арендаторов". На сегодняшний день это становится очень актуальным требованием всвязи с повсеместным использованием "облачных" систем.

3) Поддержка кросс-доменного функционирования - обеспечит значительно меньшие финансовые и административные расходы, так как не придется приобретать несколько комплектов решения и оборудования и тратить силы и время на их установку и настройку.

4) Простота внедрения и стартовой настройки - очень важна для столь всеохватывающей системы.

5) Возможность одновременного обслуживания одним подобным устройством до 200 пользователей (цифра может варьироваться в зависимости от интенсивности их действий) - при условии, что остальная инфраструктура (например, сервера, на которые ведется запись видеопотока и метаданных) поддерживают такую нагрузку.

6) Легкость установки в ИТ-инфраструктуру организации и интеграция с другими компонентами, такими, как, например, IAM, SIEM и WFMS.

7) Мультиплатформерность - решение должно поддерживать весь широкий спектр различных устройств на Windows, Unix-based, Linux, Citrix и Mac системах, мейнфреймы, устройства сетевой маршрутизации и безопасности, и т.д.

8) Автоматическое обнаружение ресурсов и распространение политик: с сегодняшними темпами работы ИС уже не получится успевать вручную определять необходимые к защите ресурсы и назначать политики - система должна уметь делать это сама на основе псевдоинтеллектуального анализа, а офицер безопасности лишь только проверять за ней в случае необходимости.

Не обязательно, чтобы система отвечала всем этим требованиям одновременно, однако наличие той или иной особенности повышает ее конкурентоспособность на весьма узком рынке подобных решений.

Можно отметить, что, в силу некоторых обстоятельств, основным из которых являлось отсутствие до недавних пор рынка подобных продуктов, некоторые организации создали свои подобные "доморощенные" системы, однако не стоит их рассматривать здесь, так как все они являются негибкими, неэкспортируемыми и неинтегрируемыми сугубо частными решениями для абсолютно конкретных случаев.

Что касается масштабов организации, в которой может внедряться подобная система, то потенциально он может быть любым, однако важно отметить, что вероятнее всего такое решение будет обладать положительным ценовым эффектом от роста масштаба организации. Так, в ходе последующего анализа мы выясним, что среднее количество пользователей, которое успешно обслуживает подобная система, соответствует тремстам (при средней "агрессивности" темпов их работы).

Вывод к главе 1

Постоянно растущие угрозы от привилегированных инсайдеров, в совокупности с динамично изменяющимися технологиями и бизнес-структурой, ввергают информационную среду организации в огромный риск. Попытки "подкрутить" традиционные инструменты безопасности для смягчения этой угрозы вероятно приведут вскоре лишь к ее разрастанию. Многие организации вновь открывают для себя концепцию "минимальных привилегий", но она является лишь отправной точкой, явно недостаточной для решения проблемы. Основанная на ней концепция "нулевого доверия" определяет восемь ключевых элементов, требуемых для адекватной защиты от возросшей "инсайдерской" угрозы. Данное направление только начало развиваться, однако на рынке программных продуктов уже существуют отвечающие представленным требованиям решения. Минимизация ущерба достигается за счёт снижения вероятности несанкционированного доступа к информационным системам, неконтролируемого изменения их настроек и обрабатываемой информации, путем применения и реализации парольной политики, ограничения доступа а также записи сессий работы пользователей.

Глава 2

Итак, как уже было сказано ранее, рынок подобных продуктов весьма молод: можно считать датой его появления 2011 год, когда были окончательно сформированы идеи и требования к инструментам по контролю за деятельностью привилегированных пользователей, и в продаже появились первые образцы подобных систем.

Встает вопрос, как сделать правильный выбор. Выбирая решение, необходимо обратить внимание на выполняемые им задачи. Система по управлению доступом к привилегированным аккаунтам должна:

реализовать рабочий процесс персонифицированного доступа к привилегированным учетным записям к конкретным системам, с четким обоснованием необходимости и требуемым количеством согласований;

"из коробки" контролировать распространенные протоколы, которые используются для управления информационными системами и оборудованием, и обеспечивать запись всех действий использующих их администраторов;

надежно сохранять информацию о привилегированных учетных записях в специализированном хранилище с обеспечением невозможности несанкционированного доступа к ней, искажения и удаления;

обеспечивать безопасную, персонифицированную работу с привилегированными учетными записями для администраторов и приложений, работающих от имени суперпользователя (Root) или администратора;

в реальном времени контролировать привилегированные сессии с возможностью прерывания в случае необходимости;

обеспечивать аудит действий администраторов в удобном формате, чтобы аудитор мог быстро найти интересующие его события и проконтролировать, что происходило в этот момент, например как будто он стоял за спиной администратора и смотрел в монитор;

использовать мощные средства поиска при анализе записей привилегированных сессий в процессе расследований;

изолировать (проксировать) привилегированные подключения от реальных серверов (исключить возможность прямого подключения);

обеспечивать доступность и отказоустойчивость.

Данная система должна осуществлять мониторинг сессий привилегированных пользователей на серверах и рабочих станциях под управлением ОС Windows/Unix/Linux/Citrix. Под задачей мониторинга понимается запись сессии пользователя для дальнейшего просмотра данной сессии и ведение журнала для быстрой навигации администраторов безопасности. Должна быть введена идентификация обезличенных учетных записей привилегированных пользователей (Administrator, root), поскольку довольно распространена ситуация, когда обезличенную учетную запись использует целая группа людей, и в этом случае, даже если сессия будет записана, то определить сотрудника, который открыл эту сессию, не представляется возможным.

Важно понимать, что подобные решения ориентированы в большей мере на корпоративный сектор, на организации, в которых уже имеется подразделение по обеспечению информационной безопасности, но которому не хватает инструментов контроля действий администраторов и иных привилегированных пользователей информационных и телекоммуникационных систем:

численность системных администраторов превышает ~5 человек;

организация с аутсорсингом IT-поддержки;

на серверах организации работают внешние агенты;

организации, от которых требуется соответствие различным стандартам безопасности;

в организации уже имеется подразделение ИБ;

крупный масштаб организации, высокий оборот средств;

В остальных случаях использование подобного ПО, как правило, не целесообразно.

Конечно, как и у любой системы, у подобных решений тоже есть ряд общих плюсов и минусов:

Плюсы:

исключение или предельная минимизация возможности нанести вред организации;

невозможность скрыть следы деятельности;

денонимизация привилегированных пользователей;

простота и наглядность определения действий и их последствий;

соответствие стандартам и регламентам;

повышение ответственности пользователей;

предельное сокращение времени на разбирательства;

однозначное и безошибочное определение виновников;

долгожданная возможность для пользователя доказать свою непричастность или оправдать времязатраты;

наличие адекватных доказательств в случае возбуждения административного или уголовного дела;

Минусы:

привилегированные пользователи воспримут нововведение "в штыки";

замедление работы ИС (некоторая деградация производительности из-за "прокси");

усложнение ИС;

дороговизна решения;

время на адаптацию пользователей;

Что касается негативного восприятия пользователями такой системы - необходимо просто предварительно провести с ними разъяснительные беседы, основной идеей которых будет внушить им, что эта система работает только во благо пользователей, а не против них. В качестве доказательств этого утверждения можно привести примеры того, что система многократно ускоряет процесс поиска первоисточника инцидента, а так же позволяет однозначно узнать ответственного за случившееся. Сотрудники IT-служб сами заинтересованы в поиске причин и виновников инцидента, когда дело доходит до выхода из строя дорогостоящих ИС.

Так же, система дает возможность пользователю полноценно оправдаться, если он действительно не виноват, или, например, объяснить начальству повышенные времязатраты на проведение тех или иных процедур, ведь все его слова будут подтверждены записью его действий.

Немалую роль в положительном восприятии пользователями такой системы (при должных разъяснениях, конечно) играет и психологический аспект, заключающийся в том, что за тобой не наблюдает постоянно еще одна пара глаз, а лишь неодушевленный инструмент фиксирует изменения (при некоторой настройке - только критические), вносимые в систему, и просмотр зафиксированной записи офицером безопасности будет производиться только в случае инцидента. При такой схеме у людей нет ощущения "ущемленности" из-за постоянного надзора.

В соответствии с составленными критериями автором данной работы был проведен анализ рынка программных продуктов на предмет поиска подходящих решений, и выбрано несколько наиболее достойных из них, максимально полно отвечающих представленным требованиям. Вопрос ценовой категории в данном случае не стоял. Как это станет подробнее видно далее, все отобранные инструменты обладают весьма схожим функционалом, схожим устройством, параметрами, интерфейсными решениями и т.д. Более того, все они "зародились" приблизительно в одно и то же время, и по мере развития копировали идеи друг-друга. Цены, используемые в процессе анализа - ориентировочные, так как не потенциальным клиентам производители их не разглашают, и приходится довольствоваться отрывочными сведениями из интернета.

Вот список этих продуктов:

1) BalaBit Shell Control Box

2) CyberArk Privileged Account Security Solution

3) ObserveIt

4) SafeInspect (отеч.)

5) Wallix AdminBastion

6) Xceedium Xsuite

Существует также ряд схожих продуктов, среди которых BeyondTrust PAM, Centrify PIM, Dell PAM, IBM Security PIM, Hitachi ID Systems PAM, MasterSAM, Bomgar PAM, Lieberman Software PM Solution, Applecross Technologies PUM, Arcon PAM, Netwrix PAM, и некоторые другие, но по данным 2015го года их функционал несколько уже предъявленных требований, поэтому в данной работе рассматриваться они не будут.

Теперь проведем анализ отобранных продуктов.

Balabit SCB (Shell Control Box)

Этот инструмент будет рассмотрен несколько подробнее остальных, так как идет первым. Остальные системы действуют и настраиваются подобным способом. Характеристики, полученные в результате анализа, будут по возможности структурированы в виде унифицированных таблиц для простоты восприятия и сравнения.

Данный инструмент представляет собой аппаратное или виртуальное устройство, базирующееся на несколько видоизмененной unix-системе ZorpOS. На территории СНГ данный продукт был успешно внедрен компанией "МТС". Имеет сертификат ФСТЭК России №3452 на соответствие 4 уровню РД НДВ и ТУ, от 11.11.2015 г.

Balabit SCB действует как proxi-шлюз на уровне приложений, ставится в "разрыв" сети. В случае с неаппаратным решением требуемые аппаратные мощности зависят от числа активных пользователей и количества защищаемых серверов. Данный инструмент способен функционировать в нескольких режимах на разных уровнях модели OSI. При этом настройка прозрачного/непрозрачного режима производится непосредственно в самом подключении, что весьма удобно.

"Прозрачный режим"

В таком режиме система ведет только мониторинг, располагаясь в сети в скрытом для пользователей виде. Авторизация на сервере системы не производится, однако инструмент записывает, под какой конечной учётной записью авторизовался пользователь на защищаемом сервере, что позволяет впоследствии найти искомые записи сессий. Встроенная функция IP-спуфинга позволяет сделать устройство "невидимым" для файерволов и маршрутизаторов, подставляя в соединении в качестве исходного IP-адреса адрес машины пользователя. Также, благодаря этому нет необходимости настраивать для него отдельные разрешения на сетевом оборудовании.

Режим "Бастион", имеет несколько реализаций:

Режим TS GateWay. Такая схема требует большое количество тонких и сложных настроек. В этом режиме в rdp-клиенте прописывается DNS-имя сервера balabit в качестве сервера шлюза удаленных рабочих столов. Этот режим использует сертификаты, шифруя трафик как до TS GateWay (сертификат сервера SCB), так и от SCB до защищаемого сервера (либо сгенерированный "на лету" сертификат, либо загруженный в систему). При таком подключении возможно подставить заведенный заранее на сервере SCB пароль конечной учетной записи, таким образом пользователь может не знать учетных данных для подключения на защищаемый сервер.

Режим "Авторизация на GateWay".

Режим "4 глаза". Принцип работы совпадает с режимом "авторизации на GateWay", но тут уже должен "разрешить" подключение администратор безопасности.

Технические характеристики:

Аппаратная реализация	Да
Реализация в виде виртуального устройства	Да
Реализация в виде программы / программного комплекса	Нет
Количество раб. мест в стандартной лицензии	500 пользователей либо 50 серверов
Поддерживаемые системы	Windows, Linux, Unix-based, OpenVMS, OpenBSD, FreeBSD, NetBSD, VMWare, ОC серверов (Mainframe), различные базы данных, аппаратные файерволы (вроде Cisco ASA) и другие сетевые устройства и устройства инфраструктуры, использующие протоколы администрирования
Поддержка "облаков"	Поддерживается
Доступ к среде через:	Веб-интерфейс
Настройка и управление через:	Веб-интерфейс, администраторская консоль
Отдельная подсистема менеджмента паролей	Нет
Внутреннее хранилище данных	Поддерживается, до 20 Тбайт
Наличие готовой конфигурации "из коробки"	Поддерживается
Самостоятельный поведенческий анализ	Нет
Отсутствие необходимости в агентах, шлюзах и другом специальном ПО	Поддерживается
Мониторинг консолей	Поддерживается
Быстрый поиск	Поддерживается, по тексту или метаданным в случае видео
Создание отчетов и графиков	Поддерживается
Ведение автоотчетности	Нет
Система индексов доверия к пользователям и сессиям	Не поддерживается
Работа "в 4 глаза" (контроль сессии в реальном времени)	Поддерживается
Формат записи сессий	псевдовидео с метаданными, текст
Поддерживаемые протоколы	HTTP/HTTPS, RDP, VNC, FTP/FTPS, SFTP, TCP, ICA, SCP, X11, TelNet, SSH, TLS и некоторые другие
Наличие "двойной" авторизации для входа администратора	Есть
Администрирование доступа на основе ролей (role-based access control)	Да
Вес записей сеансов RDP/SSH (Мб/ч в среднем, для не простаивающего сеанса)	50-300/0.8-30
Интеграция с:	IAM/IdM, AD, SIEM, IPS, DLP, RADIUS, OpenLDAP, SecurID, IDS, PKI X.509 (Tokens / Smart Cards)
Отказоустойчивая конфигурация	Поддерживается (встроенный UPS)
Поддержка технологии входа по сертификатам	Поддерживается
Система одноразовых паролей	Поддерживается
Двухуровневая авторизация с подтверждением администратором безопасности	Поддерживается
Поддержка распределенной инфраструктуры (кроссдоменная, мультиплатформерная и т.д.)	Нет
Работа с A2A и "hardcoded" учетными данными	Поддерживается
Определение соответствия пользователей	Есть
Отслеживание соединения "машина-машина"	Поддерживается
Отслеживание точки входа пользователя в систему	Не поддерживается
Поддержка "прозрачного" режима	Поддерживается
Индексация содержимого, “keyword-based” поиск (по ключевым словам)	Есть
OCR	Поддерживается

CyberArk PASS

Privileged Account Security Solution - единственное представленное полноценно модульное решение (так же несколько ранее был представлен как Privileged Identity Manager, PIM - не являвшийся модульным решением, но включавший все необходимые компоненты). Имеет сертификат ФСТЭК России на соответствие ТУ № 3267, от 12.08.2015г.

Система построена по типу Wallix AB, имеет схожий, но более расширенный функционал в режиме "бастион". За основу работы взят механизм MS Remote Application, что позволило увеличить количество поддерживаемых протоколов и возможностей подключения. Стоит несколько дороже, чем Wallix AB в неаппаратном варианте. Каждый из компонентов этого модульного решения может быть использован независимо или применен в комбинации. Решение может быть развернуто физически в локальной сети, в облаке, или даже в средах OT/SCADA. Требуемые аппаратные мощности зависят от числа активных пользователей и количества защищаемых серверов.

Компоненты решения CyberArk PIM:

Enterprise Password Vault (EPV) - корпоративное хранилище паролей.

Application Identity Manager (AIM) - средство управления учётными записями приложений.

Privileged Session Manager (PSM) - инструмент для централизованного управления привилегированными сессиями.

Privileged Threat Analytics (PTA) - инструмента анализа и предупреждения.

On-Demand Privileges Manager - инструмента контроля исполняемых команд (мониторинг программных команд и консолей, блэкслистинг и вайтлистинг).

SSH Key Manager - инструмент для безопасного хранения, контроля, ротация и обеспечение доступа к ключам.

Технические характеристики:

Аппаратная реализация	Нет
Реализация в виде виртуального устройства	Да
Реализация в виде программы / программного комплекса	Да
Количество раб. мест в стандартной лицензии	300
Поддерживаемые системы	Windows, Linux, Unix-based, VMWare, ОC серверов (Mainframe), некоторые другие сетевые устройства и устройства инфраструктуры, использующие протоколы администрирования
Поддержка "облаков"	Поддерживается
Доступ к среде через:	Веб-интерфейс
Настройка и управление через:	Веб-интерфейс, администраторская консоль
Отдельная подсистема менеджмента паролей	Да
Внутреннее хранилище данных	Нет
Наличие готовой конфигурации "из коробки"	Для отдельных компонентов
Самостоятельный поведенческий анализ	Да
Отсутствие необходимости в агентах, шлюзах и другом специальном ПО	Поддерживается
Мониторинг консолей	Поддерживается
Быстрый поиск	Поддерживается, по тексту или метаданным в случае видео
Создание отчетов и графиков	Поддерживается
Ведение автоотчетности	Да
Система индексов доверия к пользователям и сессиям	Поддерживается
Работа "в 4 глаза" (контроль сессии в реальном времени)	Поддерживается
Формат записи сессий	псевдовидео с метаданными, текст
Поддерживаемые протоколы	HTTP/HTTPS, RDP, VNC, FTP/FTPS, TCP, SCP, TelNet, SSH, и некоторые другие
Наличие "двойной" авторизации для входа администратора	Есть
Администрирование доступа на основе ролей (role-based access control)	Да
Вес записей сеансов RDP/SSH (Мб/ч в среднем, для не простаивающего сеанса)	50-300/0.8-30
Интеграция с:	SIEM, AD, DLP
Отказоустойчивая конфигурация	Зависит от оборудования, на котором развернут комплекс
Поддержка технологии входа по сертификатам	Поддерживается
Система одноразовых паролей	Не поддерживается
Двухуровневая авторизация с подтверждением администратором безопасности	Поддерживается
Поддержка распределенной инфраструктуры (кроссдоменная, мультиплатформерная и т.д.)	Да
Работа с A2A и "hardcoded" учетными данными	Поддерживается
Определение соответствия пользователей	Есть
Отслеживание соединения "машина-машина"	Поддерживается
Отслеживание точки входа пользователя в систему	Не поддерживается
Поддержка "прозрачного" режима	Поддерживается
Индексация содержимого, “keyword-based” поиск (по ключевым словам)	Есть
OCR	Поддерживается

ObserveIT

наиболее "легкий" и дешевый вариант из представленных. Разработчики этой системы не преследуют цели создать "аппаратно-программный комплекс", и формируют свое решение исключительно в виде легкого "standalone" ПО с агентскими и серверной частями. Требуемые аппаратные мощности зависят от числа активных пользователей и количества защищаемых серверов, менее существенно в стандартном режиме, и более существенно в режимах "маршрутизатор" и "бастион".

Варианты интеграции:

Стандартный - использование на конечных точках при помощи агента;

Маршрутизатор - соединения с серверами направляются в систему, а она маршрутизирует их на сервера;

Бастион - для доступа к серверам необходимо явно подключаться к порталу системы.

Технические характеристики:

Аппаратная реализация	Нет
Реализация в виде виртуального устройства	Нет
Реализация в виде программы / программного комплекса	Да
Количество раб. мест в стандартной лицензии	200 пользователей либо 10 серверов
Поддерживаемые системы	Windows, Linux, Unix-based, некоторые другие сетевые устройства и устройства инфраструктуры, использующие протоколы администрирования
Поддержка "облаков"	Частично
Доступ к среде через:	Веб-интерфейс, клиентские приложения
Настройка и управление через:	Веб-интерфейс
Отдельная подсистема менеджмента паролей	Нет
Внутреннее хранилище данных	Нет
Наличие готовой конфигурации "из коробки"	Поддерживается
Самостоятельный поведенческий анализ	Да
Отсутствие необходимости в агентах, шлюзах и другом специальном ПО	Есть необходимость
Мониторинг консолей	Поддерживается
Быстрый поиск	Поддерживается, по тексту или метаданным в случае видео
Создание отчетов и графиков	Поддерживается
Ведение автоотчетности	Да
Система индексов доверия к пользователям и сессиям	Поддерживается
Работа "в 4 глаза" (контроль сессии в реальном времени)	Поддерживается
Формат записи сессий	псевдовидео с метаданными, текст
Поддерживаемые протоколы	HTTP/HTTPS, RDP, VNC, FTP/FTPS, SFTP, TCP, ICA, SCP, TelNet, SSH, и некоторые другие
Наличие "двойной" авторизации для входа администратора	Есть
Администрирование доступа на основе ролей (role-based access control)	Да
Вес записей сеансов RDP/SSH (Мб/ч в среднем, для не простаивающего сеанса)	50-200/0.5-20
Интеграция с:	AD
Отказоустойчивая конфигурация	Зависит от оборудования, на котором развернут комплекс
Поддержка технологии входа по сертификатам	Поддерживается
Система одноразовых паролей	Не поддерживается
Двухуровневая авторизация с подтверждением администратором безопасности	Поддерживается
Поддержка распределенной инфраструктуры (кроссдоменная, мультиплатформерная и т.д.)	Да
Работа с A2A и "hardcoded" учетными данными	Не поддерживается
Определение соответствия пользователей	Есть
Отслеживание соединения "машина-машина"	Поддерживается
Отслеживание точки входа пользователя в систему	Не поддерживается
Поддержка "прозрачного" режима	Не поддерживается
Индексация содержимого, “keyword-based” поиск (по ключевым словам)	Есть
OCR	Не поддерживается

SafeInspect

решение разрабатывается в России и подходит для замены импортных аналогов в критически важных информационных системах, в которых риск отзыва лицензий ставит под угрозу безопасность ИС (продукт сертифицирован). Может быть установлен как на "железе" (сервере), так и в виртуальной среде: VMware, Hyper-V, Virtualbox. Требуемые аппаратные мощности зависят от числа активных пользователей и количества защищаемых серверов. После изменения курса рубля в конце 2014го года, продукт оказался в выгодном стоимостном преимуществе в сравнении с западными конкурентами.

Варианты интеграции:

Прозрачный - система устанавливается "в разрыв" соединения с серверами;

Маршрутизатор - соединения с серверами направляются в систему, а она маршрутизирует их на сервера;

Бастион - для доступа к серверам необходимо явно подключаться к порталу системы.

Технические характеристики:

Аппаратная реализация	Нет
Реализация в виде виртуального устройства	Нет
Реализация в виде программы / программного комплекса	Да
Количество раб. мест в стандартной лицензии	200
Поддерживаемые системы	Windows, Linux, Unix-based, VMWare, ОC серверов (Mainframe), различные базы данных, некоторые другие сетевые устройства и устройства инфраструктуры, использующие протоколы администрирования
Поддержка "облаков"	Частично
Доступ к среде через:	Веб-интерфейс, клиентские приложения
Настройка и управление через:	Веб-интерфейс, администраторская консоль
Отдельная подсистема менеджмента паролей	Нет
Внутреннее хранилище данных	Нет
Наличие готовой конфигурации "из коробки"	Поддерживается
Самостоятельный поведенческий анализ	Нет
Отсутствие необходимости в агентах, шлюзах и другом специальном ПО	Поддерживается
Мониторинг консолей	Поддерживается
Быстрый поиск	Поддерживается, по тексту
Создание отчетов и графиков	Только типовые текстовые отчеты
Ведение автоотчетности	Да, с необходимой частотой, в формате CSV, возможна отправка на электронную почту
Система индексов доверия к пользователям и сессиям	Поддерживается
Работа "в 4 глаза" (контроль сессии в реальном времени)	Поддерживается
Формат записи сессий	псевдовидео в формате. avi, текст
Поддерживаемые протоколы	HTTP/HTTPS, RDP, VNC, FTP/FTPS, TCP, ICA, TelNet, SSH, и некоторые другие
Наличие "двойной" авторизации для входа администратора	Есть
Администрирование доступа на основе ролей (role-based access control)	Да
Вес записей сеансов RDP/SSH (Мб/ч в среднем, для не простаивающего сеанса)	50-200/0.5-10
Интеграция с:	IAM/IdM, AD, SIEM, IPS, DLP, PKI X.509 (Tokens / Smart Cards)
Отказоустойчивая конфигурация	Зависит от оборудования, на котором развернут комплекс
Поддержка технологии входа по сертификатам	Поддерживается, позволяет применять двухфакторную аутентификацию с использованием токенов
Система одноразовых паролей	Поддерживается
Двухуровневая авторизация с подтверждением администратором безопасности	Поддерживается
Поддержка распределенной инфраструктуры (кроссдоменная, мультиплатформерная и т.д.)	Поддерживается, к одному "менеджеру" можно подключить несколько "коллекторов"
Работа с A2A и "hardcoded" учетными данными	Поддерживается
Определение соответствия пользователей	Есть
Отслеживание соединения "машина-машина"	Поддерживается
Отслеживание точки входа пользователя в систему	Привязка пользователя к точке входа (машине, с которой зашел на логон системы)
Поддержка "прозрачного" режима	Не поддерживается
Индексация содержимого, “keyword-based” поиск (по ключевым словам)	Есть
OCR	Поддерживается

Wallix AdminBastion

представляет собой аппаратное или виртуальное устройство, базирующееся на несколько видоизмененной unix-системе Debian.

В случае не с аппаратным решение требуемые аппаратные мощности зависят от числа активных пользователей и количества защищаемых серверов.

Wallix AB умеет работать только в режиме "бастион" на прикладном уровне модели OSI, т.е. ставится в разрыв сети в явном, видимом для пользователей виде. Имеет сертификат ФСТЭК России № 3352 на соответствие ТУ и 4 уровню РД НДВ, от 18.02.2015 г.

Технические характеристики:

Аппаратная реализация	Да
Реализация в виде виртуального устройства	Да
Реализация в виде программы / программного комплекса	Нет
Количество раб. мест в стандартной лицензии	500
Поддерживаемые системы	Windows, Linux, Unix-based, OpenVMS, OpenBSD, FreeBSD, NetBSD, VMWare, ОC серверов (Mainframe), различные базы данных, аппаратные файерволы (вроде Cisco ASA) и другие сетевые устройства и устройства инфраструктуры, использующие протоколы администрирования
Поддержка "облаков"	Поддерживается
Доступ к среде через:	Веб-интерфейс, клиентские приложения
Настройка и управление через:	Веб-интерфейс, администраторская консоль
Отдельная подсистема менеджмента паролей	Да
Внутреннее хранилище данных	Поддерживается, до 10 Тбайт
Наличие готовой конфигурации "из коробки"	Поддерживается
Самостоятельный поведенческий анализ	Да
Отсутствие необходимости в агентах, шлюзах и другом специальном ПО	Поддерживается
Мониторинг консолей	Поддерживается
Быстрый поиск	Поддерживается, по тексту или метаданным в случае видео
Создание отчетов и графиков	Поддерживается
Ведение автоотчетности	Да
Система индексов доверия к пользователям и сессиям	Поддерживается
Работа "в 4 глаза" (контроль сессии в реальном времени)	Поддерживается
Формат записи сессий	псевдовидео с метаданными, текст
Поддерживаемые протоколы	HTTP/HTTPS, RDP, VNC, FTP/FTPS, SFTP, TCP, ICA, SCP, X11, TelNet, SSH, TLS и некоторые другие
Наличие "двойной" авторизации для входа администратора	Есть
Администрирование доступа на основе ролей (role-based access control)	Да
Вес записей сеансов RDP/SSH (Мб/ч в среднем, для не простаивающего сеанса)	50-300/0.8-30
Интеграция с:	IAM/IdM, AD, SIEM, IPS, DLP, RADIUS, OpenLDAP, SecurID, IDS, PKI X.509 (Tokens / Smart Cards)
Отказоустойчивая конфигурация	Поддерживается (встроенный UPS)
Поддержка технологии входа по сертификатам	Поддерживается
Система одноразовых паролей	Поддерживается
Двухуровневая авторизация с подтверждением администратором безопасности	Поддерживается
Поддержка распределенной инфраструктуры (кроссдоменная, мультиплатформерная и т.д.)	Да
Работа с A2A и "hardcoded" учетными данными	Поддерживается
Определение соответствия пользователей	Есть
Отслеживание соединения "машина-машина"	Поддерживается
Отслеживание точки входа пользователя в систему	Не поддерживается
Поддержка "прозрачного" режима	Не поддерживается
Индексация содержимого, “keyword-based” поиск (по ключевым словам)	Есть
OCR	Поддерживается

Xceedium Xsuite

по мнению автора работы наиболее "мощное" из представленных решений. С 2016го года права на этот продукт перешли в руки американской компании CA Technologies, и он теперь называется CA PAM - Privileged Access Management. Имеет только аппаратную реализацию.

Варианты интеграции:

Прозрачный - система устанавливается "в разрыв" соединения с серверами;

Маршрутизатор - соединения с серверами направляются в систему, а она маршрутизирует их на сервера;

Бастион - для доступа к серверам необходимо явно подключаться к порталу системы.

Технические характеристики:

Аппаратная реализация	Да
Реализация в виде виртуального устройства	Нет
Реализация в виде программы / программного комплекса	Нет
Количество раб. мест в стандартной лицензии	1000 пользователей либо 50 серверов
Поддерживаемые системы	Windows, Linux, Unix-based, OpenVMS, OpenBSD, FreeBSD, NetBSD, VMWare, ОC серверов (Mainframe), различные базы данных, аппаратные файерволы (вроде Cisco ASA) и другие сетевые устройства и устройства инфраструктуры, использующие протоколы администрирования
Поддержка "облаков"	Поддерживается, также Amazon AWS-based облачных решений
Доступ к среде через:	Веб-интерфейс
Настройка и управление через:	Веб-интерфейс, администраторская консоль
Отдельная подсистема менеджмента паролей	Да
Внутреннее хранилище данных	Поддерживается, до 10 Тбайт
Наличие готовой конфигурации "из коробки"	Ограниченно поддерживается
Самостоятельный поведенческий анализ	Да
Отсутствие необходимости в агентах, шлюзах и другом специальном ПО	Поддерживается
Мониторинг консолей	Поддерживается
Быстрый поиск	Поддерживается, по тексту или метаданным в случае видео
Создание отчетов и графиков	Только текстовые отчеты
Ведение автоотчетности	Да, с необходимой частотой, в формате CSV, возможна отправка на электронную почту
Система индексов доверия к пользователям и сессиям	Не поддерживается
Работа "в 4 глаза" (контроль сессии в реальном времени)

Страница:

•  1 
•  2 

дипломная работа "Инструментальный контроль деятельности привилегированных пользователей корпоративной информационной системы" скачать

Подобные документы

• Разработка программно-технических средств для защиты от несанкционированного доступа (на примере ООО "Минерал")

  Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.
  
  дипломная работа [2,3 M], добавлен 19.01.2015
  

• Проектирование и разработка информационной системы учета товаров для магазина "Аистенок"

  Детализация функций системы и требования к информационной системе. Анализ категорий пользователей. Этапы внедрения автоматизированной информационной системы на предприятии. Описание таблиц базы данных. Защита данных от несанкционированного доступа.
  
  дипломная работа [1,0 M], добавлен 22.07.2015
  

• Проектирование модуля корпоративной информационной системы по автоматизации документа, хранящего информацию об организации

  Описания систем планирования ресурсов предприятия. Документирование и стандартизация процесса разработки корпоративной информационной системы. Создание основных объектов конфигурации, документов, регистров, отчетов, ролей и интерфейсов пользователей.
  
  курсовая работа [3,0 M], добавлен 18.05.2016
  

• Управление доступом к информационным ресурсам. Аутентификация

  Проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей. Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам. Построение трехмерной модели человеческого лица.
  
  презентация [1,1 M], добавлен 25.05.2016
  

• Комплексные системы информационной безопасности

  Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
  
  реферат [30,0 K], добавлен 15.11.2011
  

• Определение требований к системе защиты корпоративной информационной системы

  Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
  
  дипломная работа [746,7 K], добавлен 09.11.2016
  

• Разработка автоматизированной информационной системы

  Разработка и внедрение автоматизированной информационной системы. Изучение основных процессов, протекающих в предметной области. Создание базы данных. Исследование средств защиты информации от несанкционированного доступа и идентификации пользователей.
  
  курсовая работа [487,2 K], добавлен 17.03.2014
  

• Разработка информационной системы поддержки пользователей на базе 1С: Предприятие

  Анализ предметной области и разработка проекта информационной системы по поддержке пользователей на базе 1С: Предприятие. Проведение формализации логических моделей информационных процессов и процедур в проектной системе. Реализация функций системы 1С.
  
  дипломная работа [1,9 M], добавлен 27.01.2013
  

• Анализ исходного состояния комплексной системы защиты корпоративной информационной системы юридической фирмы "Грантум"

  Анализ системы управления торговлей и персоналом фирмы, бухучёта, уровня защищённости корпоративной информационной системы персональных данных. Разработка подсистемы технических мер защиты маршрутизации, коммутации и межсетевого экранирования ИСПДн.
  
  курсовая работа [3,6 M], добавлен 08.07.2014
  

• Проектирование корпоративной информационной системы предприятия

  Разработка структуры корпоративной информационной системы ООО НПО "Мир": создание схемы адресации, системы доменных имен; выбор программной и аппаратной конфигураций клиентских станций и развернутых серверов. Расчет стоимости программного обеспечения.
  
  курсовая работа [1,2 M], добавлен 20.02.2013
  

Другие документы, подобные "Инструментальный контроль деятельности привилегированных пользователей корпоративной информационной системы"

• главная
• рубрики
• по алфавиту
• вернуться в начало страницы
• вернуться к началу текста
• вернуться к подобным работам